Résumé de la semaine 46 (du 12 au 18 novembre)

Résumé de la semaine 46 (du 12 au 18 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour BitBucket [1a][1b], Firefox [2], Firefox ESR [3], Thunderbird [4], Citrix Gateway [5], Samba [6] et WSO2 API Manager [7][8].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Threat Intelligence

Cyjax publie un rapport sur une campagne massive d’usurpation de marque opérée par le groupe chinois Fangxiao [9]

Le 14 novembre 2022, Cyjax a publié un rapport sur le groupe Fangxiao revenant sur une campagne de phishing à grande échelle. Cette campagne ciblerait de grandes entreprises internationales de secteurs variés tels que la vente au détail, la banque, le tourisme, l’industrie pharmaceutique, et l’énergie. Cyjax estime avec un haut niveau de confiance que le groupe serait basé en Chine et serait motivé par le gain financier.

International

Une agence fédérale américaine victime d’une APT iranienne ayant exploité Log4Shell [10a] [10b]

Le FBI et la CISA ont publié un bulletin d’alerte au sujet de la compromission d’un serveur fédéral par un groupe étatique (APT ou menace persistante avancée) iranien grâce à la vulnérabilité Log4Shell (référencée CVE-2021-44228).

Plusieurs agences américaines retirent des stores des applications développées avec du code russe [11]

Plusieurs agences gouvernementales américaines dans l’US Army et le centre pour le contrôle et la prévention des maladies ont retiré des stores des applications utilisant du code appartenant à la société Pushwoosh. Ce code serait utilisé dans des applications installées dans 2,3 milliards de téléphones. Pushwoosh est une société qui fournit du code et des solutions d’analyses de données à destination des développeurs, notamment pour automatiser l’envoi de notifications sur les smartphones en se basant sur l’activité en ligne des utilisateurs.

Botnet

Un nouveau botnet a été identifié par Akamai : KmsdBot [12a] [12b]

Les chercheurs d’Akamai ont découvert un nouveau botnet baptisé KmsdBot capable de réaliser des attaques DDoS et potentiellement de faire du minage de cryptomonnaies. C’est au travers d’un honeypot mis en place, après une attaque ciblant un de ses clients, qu’Akamai a découvert ce nouveau botnet.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-5613
[2] CXA-2022-5580
[3] CXA-2022-5563
[4] CXA-2022-5569
[5] CXA-2022-5551
[6] CXA-2022-5568
[7] CXA-2022-5590
[8] CXA-2022-5555
[9] CXN-2022-5532
[10] CXN-2022-5607
[11] CXN-2022-5552
[12] CXN-2022-5519


Théophile

Analyste CERT-XMCO